מאת: אריק וינשטיין. החדשנות בתחום מחשוב יוצרת באופן חסר תקדים מערך עצום של הזדמנויות לעסקים וליחידים, כולל מחשוב ענן ומיליארדי התקנים מקושרים. עם זאת, ביחד עם הזדמנויות אלה באים עם האתגרים להתמודדות בתוכנות זדוניות (נוזקות) מתוחכמות וממוקדות. מתוך הכרה באיום הזה ההולך והגדל, אינטל הוסיפה לדרישות המחשוב את האבטחה כעמוד תווך שלישי לצד ביצועים יעילים באנרגיה וקישוריות. החברה מכירה בכך שאבטחה חזקה דורשת תוכנה יוצאת דופן וסיוע חומרתי. זו הסיבה שבאינטל מטמיעים מרכיבים של תכונות אבטחה לתוך המעבדים והטכנולוגיות של אינטל – מרכיבים שיכולים להיות מנוצלים על ידי האקוסיסטמה של התוכנה כדי לספק אבטחה משופרת בשכבות השונות.
כיום, עם ארכיטקטורה מובילה והאקוסיסטמה החיונית, אינטל עובדת בשיתוף הדוק עם מובילי חדשנות בתעשייה כדי לשפר הן את הביצועים והאבטחה תוך כדי אספקת חוויית המחשוב הטובה ביותר האפשרית. לשם כך, אינטל השקיעה בכמה חברות תוכנה, כולל McAfee, Nordic Edge ,Sarvega וכן דרך McAfee בחברות Nitro Security ו-Sentrigo. על ידי שילוב השקעות רחבות היקף אלו ביחד עם תכונות האבטחה הכלולות במעבדים, השבבים והטכנולוגיות של החברה, אינטל ללא ספק מציבה את אבטחת המחשוב בעדיפות. בהמשך נחשוף יותר את הטכנולוגיות החדשניות שאינטל מביאה לשוק כולל:
הגנה בפני תוכנות זדון
הפעלה בטוחה
הגנה על הזהות
האצות אופטימליות ברמת תשתית הרשת
הגנה על מידע ונכסים
הגנה בפני נוזקות
בעיה: הן התחכום והן מספר ניסיונות התקיפה של נוזקות ממשיכים לגדל, עם יותר מ-75 מיליון נוזקות ייחודיות. השימוש בסוסים טרויאנים ו-Rootkits נמצא במגמת עליה כאשר התוקפים עושים שימוש הולך וגובר בכלי תוכנה מתקדמים על מנת להסתיר את נוכחותם. Rootkits לדוגמא, נוהגים להסתיר קוד זדוני על ידי התחברות למערכת ההפעלה וזאת כדי למנוע גילוי משיטות הגילוי המסורתיות.
פתרון: חברת McAfee תוך כדי שיתוף פעולה עם אינטל הציגה פתרון פורץ דרך העושה שימוש בטכנולוגיית Intel Virtualization, טכנולוגיית ווירטואליזציה מבוססת חומרה. McAfee DeepSAFE מנטר את הזיכרון והוא נמצא מתחת למערכת ההפעלה וזאת על מנת לזהות Rootkits בזמן אמת. McAfee Deep Defender העושה שימוש ב-McAfee DeepSAFE, הוא הפתרון הראשון נגד נוזקות העוזר לאבטח את תהליך הניטור, החל משלב ה-boot של המערכת וזאת כדי למנוע מנוזקות את יכולת הטעינה עוד לפני טעינתם של דרייברים ותוכנות קריטיות. מסוף 2011 פתרון זה זמין ללקוחות ארגוניים.
הפעלה בטוחה
הבעיה: תוקפים יכולים לסכן את ה-VMM () הנמצא בשימוש נרחב במרכזי נתונים או את ה-BIOS של הפלטפורמה הנמצא בשכבה תחתונה בדומה להתמקמות מתחת מערכת ההפעלה בדומה ל-rootkit שתואר קודם. ההבדל הוא שהתוקפים פוגעים ב-hypervisor או ב-BIOS של המערכת, שניהם אלמנטים קריטיים לבקרה של הפלטפורמה. בשורה התחתונה, אם אתה לא יכול לשלוט בפלטפורמה אתה לא יכול להגן על המידע שנמצא בה.
פתרון: אינטל עובדת בצורה צמודה עם יצרני hypervisor כמו Citrix ,VMWare ויצרנים אחרים כדי לנצל תהליך boot מבוקר בעזרת טכנולוגיית Intel® Trust Execution.. מנטר אלמנטים חשובים של ה-BIOS המערכתי וה-hypervisor כדי להבטיח שהם בטוחים ביחס לערכים ידועים מראש (“known good ”values). דבר זה מגן על השרת עוד לפני תהליך ה-boot של תוכנת הווירטואליזציה אשר מאפשר הגנה נגד נוזקות של תוכנת אנטי ווירוס, פתרונות לגילוי חדירות (Intrusions) וכדומה. בנוסף, Intel TXT מספקת בטחונות מבוססי חומרה לשמירת תקינות (Integrity), דבר אשר ניתן לשימוש בזיהוי מערכות בטוחות ולא בטוחות (trusted/untrusted systems) כדי ליצור מאגר של פלטפורמות בטוחות. בעזרת “מאגרים בטוחים” ניתן לנייד בבטחה VMs עם עומסי עבודה רגישים לכל פלטפורמה בטוחה בדומה לאבטחה בשדה תעופה, ברגע שעברת נקודת בידוק ביטחונית אתה יכול לנוע בחופשיות משער לשער.
הגנה על זהות
בעיה: גניבת זהות אישית נמצאת במגמת עליה עם מספר שיא של חשבונות ש”נחטפו” על בסיס יומי. ארגונים גם רואים התקפות מוגברות על מה שנחשב בעבר כאל-כשל (failsafe), סביבת רשת מוגנת. אימות מבוסס שם משתמש וסיסמה כבר לא מספק אבטחה בת-קיימא כיוון שהם מושגים בקלות ע”י פושעי סייבר. אפילו השימוש
ב-Cookies ובכתובת IP כבר לא חזק מספיק למניעת התקפות סייבר. מוסדות פיננסיים, מדיה חברתית ואתרי משחקים, כמו גם פורטלים של הממשלה לשרות האזרח, משתמשים באימות מבוסס 2 פרמטרים (אישור Login בתוספת אישורי אימות) כדרישה לאימות המשתמש. עם זאת, מעקב אחר רכיב חומרה חיצוני (בד”כ ע”י key fob) או בקשה למידע אימות נוסף נתקלים בהתנגדות מצד משתמשי הקצה.
פתרון: דרך הרכישה של חברת Nordic Edge, אינטל מציגה את שרת ה-One Time Password. תוך שימוש במאפייני web וארגונים, שרת זה מאבטח גישה ליישומים ומערכות בעזרת אימות חזק בעל 2 גורמים. הוא ניתן לשילוב בקלות לתוך סביבות קיימות ומגיע עם תמיכה מלאה לרוב פתרונות הגישה מרחוק. בנוסף, כאשר המשתמשים צריכים גישה ליישומי ענן או , Intel® Expressway Cloud Access 360 מספק אימות חזק יחיד בצורה חלקה והקצאת חשבון משתמש. לאבטחת שכבת ה app-to-app ,Intel® Expressway Service Gateway מאבטח שירותי web ואת
ה-APIs של הענן.
פתרון-2: אינטל משתפת פעולה עם ספקי רכיבי אבטחה ואתרי אינטרנט הפונים לצרכן ומשתמשים בטכנולוגיית
Identity Protection Intel® Technology
() עם One Time Password. האבטחה והאמון של מערכת אימות 2 גורמים מובנים בחומרה של המשתמש, מה שהופכים את זה לשקוף למשתמש. טכנולוגיה מוטמעת זו, שכיום נמצאת בשימוש כרכיב אבטחה חשוב במחשבי
ה-Ultrabook ופלטפורמות נבחרות של אינטל, אומצה לתוך פתרונות צרכניים כמו גם ארגוניים.
פתרון-3: התקפות על עסקאות בנקאיות אלקטרוניות (ACH) נמצאות בעלייה, שבו נוזקות ממוקדות מיירטות עסקאות פיננסיות ומנתבות אותם לחשבונו של פושע הסייבר. טכנולוגיית Intel® Identity Protection
() עם תצוגת עסקה מוגנת מאפשרת למוסדות פיננסיים לוודא שבעל החשבון הוא זה שעושה את העסקה (ולא תוכנות זדוניות) ומאפשר לבעלים לאמת את פרטי העסקה דרך נתיב מאובטח בין הגוף הפיננסי לתצוגה של הבעלים. בעל החשבון יכול לראות את פרטי העסקה המוצגים על מסך, אך מחוץ למערכת ההפעלה, עם האפשרות לדחות עסקת הונאה. התגובה מתבצעת בקלט מאובטח על ידי לחיצת עכבר על המסך והצפנתו, כך שאין כל דרך לתוכנות זדוניות לחבל באימות או דחייה. Intel IPT, עם תצוגת עסקה מוגנת, מאפשר אימות out-of-band מבלי הצורך של המשתמש לעזוב את המחשב שלו.
האצה אופטימלית לתשתית הרשת
בעיה: ישנן מחלקות של עומסי עבודה ואלגוריתם היכולים לדחוף אל הקצה את יכולות ציוד הרשת. דוגמא טובה לכך הם האלגוריתמים, הצורכים משאבי מחשוב יקרים, להצפנה עם מפתח ציבורי התומכים בפרוטוקול SSL, במיוחד בתהליך
ה-handshaking המאפשרים ללקוח ולשרת להקים את הקשר.
פתרון: כיום מוסיפים מודולים יקרים להאצת אבטחה וזאת כדי להגדיל את הביצועים ולנוע מצב של עומס יתר. כעת, ניתן להימנע מהשימוש בסוגים רבים של מודולים כאשר הציוד מבוסס על פלטפורמת התקשורת מהדור הבא של אינטל, ה-Crystal Forest. זאת משום שהפלטפורמה משתמשת בטכנולוגיית Intel® QuickAssist ביחד עם המודולים שלה להאצה בחומרה ותוכנה של הצפנה בנפחים גבוהים, , (DPI) דחיסת מידע ועומסי עבודה אחרים. פלטפורמת
ה-Crystal Forest המשולבת עם טכנולוגיית Intel® QuickAssist תומכת בהאצת הצפנה עד 80Gbps, אשר משתווה לפתרונות שהיום עושים שימוש בריבוי ארכיטקטורות של מעבדים כדי להשיג קצב זה, מה שהופך את הפתרון של אינטל לנוח הרבה יותר למימוש.
הגנה על מידע
בעיה: האקרים מחפשים מידע שבו הם יכולים לעשות שימוש או למכור ברווח. המקרים של גניבות סייבר הופכים לנפוצים יותר מאי פעם, וכל התקן מחשוב – מטלפון חכם ועד למחשב נייד ושרתים יכולים להוות מטרה.
פתרון: הצפנה היא שיטה אחת לאבטח את המידע, אך לכך יש בדרך כלל מחיר בביצועים, דבר המביא חלק מהמשתמשים להעדיף ביצועים ע”פ אבטחה. אינטל לקחה אלגוריתם חשוב בהצפנה, ה-Intel AES New Instructions () והטמיעה אותו בתוך המעבד. דבר זה מקטין את התקורה הכרוכה בהצפנת מידע במעבד ומאיצה את תהליך ההצפנה. בעזרת ביצועים מהירים המשתמשים לא חווים השפעה שלילית של ההצפנה וניתן לאמצה לשימוש נרחב במערכות Client ו-Servers.
בעיה: מחשבים ניידים נגנבים בד”כ לצורך המידע ובמקרים רבים הגניבה מבוצעת בתוך סביבת הארגון. הצפנה היא טובה אך בהינתן מספיק זמן וגישה להתקן, ההצפנה והאימות ניתנים לפיצוח וגניבת מידע.
פתרון: אינטל שיתפה פעולה עם מספר יצרניות תוכנה כדי לספק טכנולוגיה שתתריע מגניבה, טכנולוגייה הקרויה Intel® Anti Theft
(). כאשר מחשב אישי המצויד
ב-Intel AT – מדווח כאבוד או שנגנב, חבילה (packet) נשלחת על גבי האינטרנט למחשב כדי להשביתו. הדבר נעשה בעזרת מידע חכם, המוגדר מראש והנמצא על המחשב, קובע שהמחשב נגנב ואז מבצע פעולת השבתה. המחשב יישאר מושבת עד להזנה של סיסמה באופן מקומי או דרך שרת. מערכות Notebook או Ultrabook עם Intel AT מכילים לוגו וכן אזהרה שהמערכת מוגנת.
תוכנה וחומרה:
חזון חדש לאבטחה
אינטל כחברה שמחויבת להפוך את חווית המחשוב ליותר בטוחה, מקוונת ויעילה באנרגיה, מזהה היכן ניתן לשלב רכיבי אבטחה במעבדים והשבבים שלה ומשפרת ע”י כך את הביצועים, יכולת ההתאוששות, אבטחת תהליך ה-boot ומאפשרת offload מתוכנה לחומרה.
